Les derniers gros vols de données – 18 déc 2025

Voici la revue hebdomadaire des fuites, pertes ou vols de données signalés cette semaine, avec un focus sur les incidents les plus sensibles.

L’actualité de la semaine met en lumière une série de fuites massives de données personnelles et professionnelles, touchant aussi bien des concessions automobiles en Inde que le crédit aux États-Unis, la génération de prospects et plusieurs services en ligne. Les incidents recensés vont de bases MongoDB non protégées à des bases CRM dérobées, en passant par des ventes de dumps sur des forums cybercriminels et des compromissions de plateformes de streaming ou d’apprentissage en ligne. En parallèle, l’infrastructure d’un rançongiciel majeur est exposée, tandis que des autorités de régulation et des forces de police interviennent dans des affaires touchant des centaines de milliers à plusieurs dizaines de millions de personnes, avec parfois des amendes et des démissions au plus haut niveau.

D’après BleepingComputer, la fuite de données annoncée le 1er décembre 2025 par Coupang, principal détaillant en ligne sud-coréen avec 95 000 employés et plus de 30 milliards de dollars de revenus annuels, touche 33,7 millions de clients. Les informations compromises, issues d’un incident survenu le 24 juin 2025 mais découvert seulement le 18 novembre, comprennent noms, emails, adresses physiques et données de commandes. L’enquête policière, notamment une perquisition de plusieurs jours, a identifié comme suspect principal un ancien employé de 43 ans, chargé auparavant d’un système de gestion d’authentification, et dont l’accès aux systèmes aurait perduré après son départ.

Comme le précise BleepingComputer, l’autorité de protection des données britannique a infligé une amende de 1,2 million de livres à LastPass pour une faille de 2022 ayant compromis des informations personnelles et coffres-forts chiffrés de jusqu’à 1,6 million d’utilisateurs au Royaume-Uni. L’incident résulte de deux intrusions liées, débutant en août 2022 par la compromission d’un poste utilisé pour le développement, permettant le vol de code source, d’informations techniques et d’identifiants chiffrés. Les attaquants ont ensuite accédé au coffre d’entreprise, volé une clé d’accès Amazon Web Services et une clé de déchiffrement, puis copié des sauvegardes de bases contenant notamment noms, emails, numéros de téléphone et adresses IP d’accès.

Selon dailydarkweb.net, un acteur de menace affirme avoir exfiltré une base client massive liée à « Volkswagen Mandi » en 2025, avec plus de 2,5 millions de lignes issues d’un système de gestion de la relation client référencant Salesforce et Zoho. Les exemples de données montrent des adresses couvrant notamment le Maharashtra, le Tamil Nadu, le Madhya Pradesh et le Kerala, suggérant une portée nationale. Le lot comprend des informations d’identité, des coordonnées complètes, des adresses de facturation et livraison, ainsi que des numéros d’identification de véhicules et historiques d’essai, en plus de codes concessionnaires et journaux internes de retours et garanties.

Comme le détaille cyberpress.org, l’infrastructure de LockBit 5.0 a été exposée le 5 décembre 2025. Le serveur présente une page de protection contre les attaques par déni de service marquée « LOCKBITS.5.0 » et expose plusieurs services sensibles, dont FTP (port 21), HTTP (ports 80 et 5000), WinRM (5985), partage de fichiers (49666) et surtout un accès Remote Desktop Protocol ouvert sur le port 3389.

D’après TechCrunch, 700Credit, basée dans le Michigan et spécialisée dans les vérifications de crédit pour concessionnaires automobiles américains, a subi en octobre une violation ayant permis le vol de données personnelles d’au moins 5,6 millions de personnes. Les informations compromises incluent noms, adresses, dates de naissance et numéros de Sécurité sociale collectés entre mai et octobre 2025 par les revendeurs. L’entreprise attribue l’incident à un acteur malveillant non identifié et indique envoyer des courriers aux personnes concernées, accompagnés d’une offre de services de surveillance de crédit.

Selon TechRadar, des chercheurs de Cybernews ont découvert une base MongoDB non protégée de plus de 16 téraoctets contenant près de 4,3 milliards de documents, décrite comme l’un des plus grands jeux de données de génération de prospects jamais divulgués. Neuf collections, dont « intent », « profiles » ou « companies », renfermaient près de deux milliards de fichiers avec informations identifiantes : noms, emails, numéros de téléphone, historiques d’emploi, données de localisation, compétences et identifiants Apollo. Une collection incluait aussi des photographies, augmentant le risque d’usurpation d’identité ou de fraude.

Comme le rapporte dailydarkweb.net, la plateforme de micro-tâches Rewardy serait victime d’une intrusion annoncée sur un forum, où un vendeur propose un dump MongoDB de 14 gigaoctets pour 1 500 dollars en cryptomonnaies XMR ou BTC. Le pirate affirme avoir compromis, le 8 décembre 2025, les données de 2,2 millions d’utilisateurs, dont environ 416 000 enregistrements contenant des mots de passe hachés. Le lot revendiqué inclut également adresses email, historiques d’adresses IP, identifiants d’appareils, portefeuilles cryptographiques, identifiants de transactions, historiques de gains et statuts de compte, y compris les motifs de bannissement.

D’après dailydarkweb.net, un acteur malveillant propose pour 500 dollars, via Telegram, une base de données issue du site indien Toppersexam, spécialisé dans plus de 3 100 examens. La base contiendrait environ 1,98 million de profils utilisateurs, avec près de 959 000 adresses email uniques et 954 000 numéros de téléphone uniques. Les échantillons indiquent aussi la présence d’adresses physiques détaillées (avec repères locaux et codes postaux), de fonctions et métiers, de dates de naissance, de genre, ainsi que d’identifiants internes et statuts de candidats associés aux comptes.

Selon dailydarkweb.net, un vendeur sur un forum de piratage affirme détenir une base de 496 000 enregistrements clients de Rolladen Planet, e-commerçant allemand de volets roulants et systèmes de protection solaire, proposée pour 600 dollars. Les exemples fournis couvrent des particuliers et des entreprises situés en Allemagne et en Autriche. Les champs annoncés comprennent noms complets, adresses postales détaillées, emails, numéros de téléphone, mais aussi noms d’entreprises, services pour les clients professionnels, numéros clients et données de genre liées aux profils.

Comme le signale dailydarkweb.net, l’application de streaming NetPlay GO, diffusant chaînes gratuites et contenus à la demande sur mobiles Android et boîtiers TV, ferait l’objet d’une vente de base de données sur un forum clandestin. L’acteur revendique l’exposition de 595 385 utilisateurs uniques, avec noms, adresses email, numéros de téléphone mobile et identifiants d’abonnement. Le dump contiendrait également des mots de passe hachés et des numéros CPF, identifiants fiscaux brésiliens, liant directement données de contact, données d’accès et identifiants fiscaux dans un même corpus.

D’après cyberpress.org, une analyse menée en novembre 2025 a identifié plus de 10’000 images Docker Hub contenant des identifiants de production exposés. Plus de 40 % de ces images contenaient au moins cinq secrets, incluant clés d’API cloud, identifiants de bases de données, jetons de modèles d’intelligence artificielle et accès à des chaînes d’intégration continue. Environ 4 000 clés d’API d’IA et de machine learning étaient concernées, et 75 % des clés exposées n’avaient pas été révoquées après fuite.

Selon SecurityWeek, le groupe de rançongiciel Akira a revendiqué en novembre l’attaque de Fieldtex Products, entreprise américaine de couture industrielle et de distribution de fournitures médicales, affirmant avoir dérobé plus de 14 gigaoctets de documents. Fieldtex a détecté un accès non autorisé à la mi-août et indiqué le 20 novembre que des données de santé protégées de plus de 200’000 personnes avaient pu être consultées. Les informations concernées incluent noms, adresses, dates de naissance, identifiants de membres d’assurance, noms et périodes de validité de plans, ainsi que genre, liés aux produits de santé fournis.